NIS-2-Gesetz: Persönliche Haftung für Vorstände bei IT-Sicherheitslücken
02.02.2026 - 22:31:12
Seit Dezember 2025 haften Geschäftsführer und Vorstände in Deutschland persönlich mit ihrem Privatvermögen für Mängel in der Cybersicherheit. Das neue NIS-2-Umsetzungsgesetz macht IT-Sicherheit zur Chefsache und betrifft rund 30.000 Unternehmen.
Vom IT-Problem zur strategischen Führungsaufgabe
Die Regeln markieren einen fundamentalen Wandel. Cybersicherheit ist nicht länger nur Aufgabe der IT-Abteilung, sondern rückt ins Zentrum der strategischen Unternehmensführung. Die Geschäftsleitung muss Risikomanagementmaßnahmen nun aktiv überwachen – nicht nur absegnen. Das parallel verabschiedete KRITIS-Dachgesetz unterstreicht den wachsenden regulatorischen Druck.
Was die neue Rechtslage für Vorstände bedeutet
Kern der Neuregelung ist der § 38 BSIG. Er definiert die persönliche Verantwortung der Leitungsorgane klar. Geschäftsführer und Vorstände müssen die gesetzlich geforderten Sicherheitsmaßnahmen billigen und deren Umsetzung kontinuierlich kontrollieren. Diese Pflicht geht weit über eine Unterschrift hinaus.
Zudem schreibt das Gesetz eine verpflichtende Fortbildung vor. Mitglieder der Geschäftsführung müssen sich mindestens alle drei Jahre zu Cyberrisiken schulen lassen. Nur so können sie ihrer Aufsichtspflicht nachkommen.
Viele Geschäftsführer unterschätzen die neuen Pflichten nach NIS‑2 — und die persönliche Haftung ist real. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt übersichtlich, welche organisatorischen Maßnahmen (ISMS, Risikoanalyse, Incident‑Management) jetzt Pflicht sind, welche Schulungen Vorstände brauchen und wie Sie erste Prüfungen durch das BSI bestehen. Ideal für Entscheider, die Haftungsrisiken minimieren wollen. Gratis E‑Book: Cyber Security Awareness Trends herunterladen
Konkrete Pflichten und die Grenzen der Delegation
Betroffene Unternehmen müssen einen umfassenden, risikobasierten Ansatz umsetzen. Dazu gehören Konzepte für Risikoanalyse, Incident-Management, Betriebsaufrechterhaltung und Lieferkettensicherheit. Auch Kryptografie, Personalsicherheit und Wirksamkeitskontrollen sind explizit gefordert.
Die zentrale Botschaft: Die Gesamtverantwortung ist nicht delegierbar. Die operative Umsetzung kann an Fachabteilungen oder Dienstleister gehen. Die Aufsichts- und Kontrollpflicht bleibt jedoch unmissverständlich bei der Geschäftsleitung. Eine Pflichtverletzung ebnet den Weg für persönliche Haftung.
Bußgelder und die gefährliche Beweislastumkehr
Die Sanktionen bei Verstößen sind empfindlich. Bußgelder können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes betragen. Einschneidender für Entscheidungsträger ist die neue persönliche zivilrechtliche Haftung.
Bei vorsätzlicher oder fahrlässiger Pflichtverletzung haftet der Geschäftsführer mit seinem Privatvermögen für entstandene Schäden. Kritisch ist die Beweislastumkehr: Im Schadensfall muss nicht das Unternehmen das Verschulden der Leitung nachweisen. Die Geschäftsführung muss beweisen, dass sie ihren Sorgfaltspflichten nachgekommen ist. Die schützende „Business Judgment Rule“ greift hier in der Regel nicht.
Unmittelbarer Handlungsbedarf für 30.000 Unternehmen
Die Schonfrist ist vorbei. Das BSI hat erweiterte Aufsichts- und Prüfungsbefugnisse. Betroffene Vorstände sollten jetzt handeln.
Erste Schritte sind eine detaillierte Betroffenheitsanalyse und eine Bestandsaufnahme bestehender Sicherheitsmaßnahmen. Die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 oder BSI IT-Grundschutz ist dringend ratsam.
Parallel muss die D&O-Versicherung auf Deckung für NIS-2-spezifische Pflichtverletzungen überprüft werden. Unumgänglich ist die sofortige Planung der gesetzlichen Cybersicherheitsschulungen für die gesamte Führungsebene. Nur proaktives Handeln und lückenlose Dokumentation minimieren das persönliche Haftungsrisiko wirksam.
PS: Die Schonfrist ist vorbei — handeln Sie jetzt, bevor Prüfungen und Bußgelder folgen. Der gleiche Gratis‑Leitfaden liefert praxisnahe Checklisten für D&O‑relevante Dokumentation, Vorstands‑Schulungen und sofort umsetzbare Schutzmaßnahmen, damit Sie Ihre Kontroll- und Nachweispflichten lückenlos belegen können. Speziell für Geschäftsführer und IT‑Verantwortliche konzipiert. Jetzt kostenlosen Cyber‑Security‑Leitfaden für Entscheider herunterladen
